Inyección y ejecución de código arbitrario en ipDIO de IPCOMM
Fecha de publicación 04/03/2022
Importancia
4 - Alta
Recursos Afectados
IPCOMM ipDIO, versión de firmware 3.9 2016/04/18 / IPDIO SW 3.9.
Descripción
Aarón Flecha Menéndez, de S21Sec, ha reportado 4 vulnerabilidades, 2 de severidad alta y 2 medias, al CISA que podrían permitir a un atacante inyectar y ejecutar código arbitrario.
Solución
IPCOMM no ofrece soporte para ipDIO y se considera el fin de su ciclo de vida útil.
IPCOMM recomienda actualizar a ip4Cloud, que es el sucesor de ipDIO. Obtenga soporte técnico de la actualización desde el centro de soporte al cliente de IPCOMM.
Detalle
- La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta cargar, copiar, descargar o eliminar una configuración existente (Administrative Services). Se ha asignado el identificador CVE-2022-24915 para esta vulnerabilidad de severidad alta.
- La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta revisar el historial. Se ha asignado el identificador CVE-2022-22985 para esta vulnerabilidad de severidad alta.
Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-24432 y CVE-2022-21146.
Listado de referencias
Etiquetas